דארק ווב – מבוא

איך מתחברים ל-Tor
From Wikimedia Commons, the free media repository

כשמדברים או כותבים על הדארק ווב, יש המון מידע מסולף, חששות ובעיקר מיתוסים מוזרים. אפילו בקרב מתכנתי ווב מנוסים. במאמר הזה אני מסביר על הרשת האפלה – ראשית מה יש בה ומה אין בה, שנית איך מתחברים אליה. במאמרים נוספים אני אביא גם מידע טכני הולך ומעמיק. אבל המאמר הזה? לא טכני. למרות שאני יוצא מנקודת הנחה שאתם יודעים מה זה IP.

אז מה זו הרשת האפלה? בגדול זה תרגום לא מוצלח ל'רשת אנונימית' שיושבת מעל ה-clear web שהיא הרשת המוכרת לנו ועובדת באמצעות פרוטוקול http. רשת TOR גם עובדת באמצעות הפרוטוקול הזה, אך היא עושה את זה בדרך אנונימית לחלוטין. מה זאת אומרת?

כשאני ניגש לאתר מסוים, למשל האתר הזה, מי שמחזיק בשרת יכול לדעת בדיוק מי אני. איך? לפי כתובת ה-IP. גם אם אני אשתמש ב'מוד אינקוגניטו', ה-IP שלי יהיה חשוף למפעיל השרת. האנונימיות שאנחנו חושבים שיש לנו ברשת היא לא קיימת. נכון, אם אתה אדם רגיל, אין לך הרבה מה לעשות עם IP. אבל רשויות המדינה יכולות לעשות עם זה הרבה דברים – כמו ללכת לספק האינטרנט שה-IP הזה שייך לו ולבקש את פרטי הלקוח. נשמע כמו מדע בדיוני? הנה, לא מזמן עלו על בלוגר שחשב שהוא אנונימי. איך? השרת שבו הוא השתמש כדי לפרסם בלוג, נתן את כתובת ה-IP למדינה והיא בתורה קיבלה את פרטיו מהשרת.
חושבים להתחבר מהשכן? או מבית הקפה? גם שם ניתן לאתר ולאכן אתכם. ה-IP של בית הקפה גם נרשם וניתן להצליב אותו עם רשימת הלקוחות או אפילו עם רשימת הלקוחות שהטלפון שלהם נרשם ברשת הסלולרית הקרובה. זה נשמע פרנואידי? מדע בדיוני? דברים כאלו בהחלט נעשו ונעשים. כאשר רשויות חזקות כמו המדינה או בית המשפט מעורבות בניסיון גילוי – כמעט תמיד הוא מצליח.

ייתכן שהאדם הסביר מעולם לא יצטרך אנונימיות כזו. עבור רובנו, התקנת כמה תוספים שימנעו מחברות מסחריות לרגל עלינו תספיק. אבל האנונימיות היא דבר חשוב ואפילו קריטי עבור משתמשים מסוימים. למשל אלו שחושפים שחיתויות בחברות ממשלתיות, בארגונים ממשלתיים ואפילו בארגונים בטחוניים. האנשים האלו חייבים אנונימיות והדיווחים שלהם, בסופו של יום, מסייעים לכולנו. גם במדינת ישראל. לא חסרים מקרים שבהם גופים בטחוניים הטילו "צנורה" כדי לחפות על מחדלים ושחיתויות. אנו מעוניינים שגורמים יוכלו לשלוח מידע אנונימי לעיתונאים בלי שהעיתונאים יוכלו לחשוף אותם בכלל. אנו מעוניינים שאוכלוסיות נרדפות יוכלו לתקשר אחת עם השניה ועם התקשורת וגורמים אחרים בלי הפרעה.

נכון, אנונימיות יכולה לשרת גם גורמים זדוניים. אבל זה מחיר שכדאי לשלם. בסופו של דבר – חושפי שחיתויות הם הגורם החיסוני החזק ביותר שיש לכל חברה. ובין אם מדובר במישהו ששולח מסמכים המראים על שחיתויות לעיתונאי או אדם שרוצה לזעוק את אשר על ליבו בטוקבק לכתבה מוזמנת בעיתון תקשורת. כך או אחרת – עם TOR אתם יכולים להגיע לרמת אנונימיות שאי אפשר להגיע עם כלים אחרים (VPN, לתשומת לב המוחים, הוא לא כלי אנונימיות והוא מותיר את האדם חשוף לא פחות ואף יותר מלא להשתמש בו בכלל).

רשת Tor מורכבת משני אלמנטים. הראשון הוא המשתמשים, המגינים על עצמם ונותרים אנונימיים. השני הוא השרתים, שחלק מהם מגינים על עצמם ונותרים אנונימיים. חלק מהשרתים האלו הם שירותים לגיטימיים כמו שירות מייל מאובטח, שרתים יצירת קשר עם עיתונאים במגוון כלי תקשורת שונים, מקומות לדיונים בנושאי אבטחת מידע וכו'. חלק מהם נמצא בצד הלא נכון של החוק והוא זה שהקנה לרשת האפלה את המוניטין המפוקפק שלה: אתרים המיועדים לסחר בסמים, סחר בבני אדם ומעשים מפוקפקים אחרים. המאמר הזה מיועד לאנשים שמעוניינים לשמור על אנונימיות מהסיבות הנכונות. רוצים להשתמש ב-Tor כדי להזמין הרואין ולרצוח את חמותכם? אני לא מסביר וסביר להניח שמאחורי השרת ברשת האפלה המיועד להזמנת דברים כאלו עומדים אנשי חוק חמורי סבר. כפי שנאמר בשיר: הנה דיסקו מנאייק עושה כאן מסיבה. עם אורות כחולים ואזיקים ממתכת והג'מעה מוזמנת מהבתים נשפכת. אז אל תהיו הג'מעה ואל תעשו שטויות.

אז עכשיו שהבנו למה צריך את Tor, בואו ננסה להבין איך משתמשים בו בכלל. מבחינת המשתמש?

המשתמש צריך להתקין דפדפן Tor המאפשר לו בעצם לנתב את התנועה שלו בשרתי הרשת. מהרגע שהתנועה מנותבת, הוא יכול לעשות שני דברים: הראשון הוא לגלוש בכיף לכל אתר ב-clear web, כלומר לכל אתר רגיל, ולשמור על האנונימיות שלו כמעט לחלוטין. השני הוא לגלוש לשרתים ברשת האפלה שלא ניתן להגיע אליהם עם דפדפן רגיל.

דפדפן Tor הוא בעצם פיירפוקס עם תוספות שמנתבות את התנועה. למשתמש ביתי המשתמש ברשת ביתית ההתקנה היא כל כך קלה שזו בדיחה. נכנסים לאתר של Tor ומתקינים. הכנתי סרטון קצר שבו אני מתקין את הדפדפן בחי.

אחרי ההתקנה הפשוטה הזו, אפשר להשתמש ב-Tor בדיוק כמו דפדפן רגיל. למשל, להכנס להארץ ולקלל את הכתבים בטוקבקים.

אני מקלל את אחד הכתבים בהארץ בטוקבק כאשר אני משתמש ברשת Tor
אני מקלל את אחד הכתבים בהארץ בטוקבק כאשר אני משתמש ברשת Tor

מה ההבדל בין הדפדפן של Tor לדפדפן רגיל? שכאן אם מישהו (כמו הממשלה, או עיתון הארץ) יסתכל על ה-IP שלי – הוא יראה IP של נקודת יציאה של רשת Tor. בניגוד ל-VPN, גם אם הוא יכריח את בעל נקודת היציאה להביא לו את הלוגים, הוא יגלה לוג של נקודת מעבר, לא שלי. כלומר האנונימיות שלי בטוחה. אלא אם כן הייתי אידיוט וכתבתי את הטוקבק עם השם האמיתי שלי.

אני יכול להשתמש ב-Tor על מנת להכנס לאתרים בסיומת onion. האתרים האלו הם שרתים שפועלים אך ורק ברשת האפלה ונגישים רק למי שמשתמש בדפדפן Tor. כך למשל, המאמר הזה מספר על חתימות PGP. הוא יושבת בכתובת http://zqktlwi4fecvo6ri.onion/ שזו כתובת לא רגילה. רוב הכתובות ברשת האפלה נראות כך: ג'יבריש כלשהו ואז הסיומת onion. אם תנסו להכנס אליה עם דפדפן רגיל, תקבלו כינים בשקית. לעומת זאת, עם דפדפן Tor תגלו ויקיפדיה המוקדשת לנושאים רלוונטיים לאנונימיות ואבטחת מידע.

דפדפן של Tor המציג אתר מהרשת האפלה
דפדפן של Tor המציג אתר מהרשת האפלה

נחמד, נכון? ולא מאוד מאיים. אני חושב שכל אחד יכול להכנס לרשת האפלה. בהמשך נרחיב יותר. אבל בסיס זה בסיס 🙂

המאמר הזה נכתב הודות להרצאה מאלפת של CryptoParty שהעבירו יובל אדם ונועם רותם – שני אנשי טכנולוגיה שהסבירו בחן רב ובידענות על הרשת האפלה. כל כך נהניתי ולמדתי שאמרתי שאני חייב להביא את הבשורה גם בבלוג. זה המאמר הראשון בסדרה, אבל יש עוד כל הרבה איך ללמוד. במאמר הבא: איך זה עובד טכנית והאם באמת אי אפשר לעלות על מי שמשתמש בזה.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

למפתחי ובוני אתרי אינטרנט

מדריך לשאילתות יעילות ל Chat GPT

כל אחד יכול לשאול את GPT, אבל אם תרצו לשאול אותו שאלות על תכנות – יש כמה שיטות וטיפים ליעל את העבודה מולו.

גלילה לראש העמוד